Presentación de PowerPoint › sites › default › files › ... · 2019-05-27 · l Costo del...
Transcript of Presentación de PowerPoint › sites › default › files › ... · 2019-05-27 · l Costo del...
2017
1
El pasado mes de marzo del 2017, la
Dirección de Investigación Criminal e
INTERPOL a través del Centro Cibernético
Policial, realizó el lanzamiento del primer
Informe de Amenazas del Cibercrimen en
Colombia 2016 – 2017, evento que se
efectuó en las instalaciones de la DIJIN, con
la participación de representantes de sector
de telecomunicaciones, comercio, academia
y medios de comunicación en general.
Dicho informe consta del análisis de
información, que a través de la atención de
incidentes por parte del @caivirtual, se
lograron identificar los aspectos comunes
que permiten caracterizar el delito
informático en Colombia, así: el cambio en
la selección de las víctimas, pasando del
ciudadano común a las grandes empresas
del sector público-privado, las cuales
generan una mayor rentabilidad a la
actividad criminal, nuevas plataformas de
comercio electrónico utilizadas para estafar
a través de phishing, servicios de Gobierno
electrónico como vector de ataque para la
distribución de malware.
“El crecimiento incesante de la delincuencia
informática sigue siendo una amenaza real y
considerable para nuestra seguridad colectiva.”
Rob Wainwright , Director de Europol
l Costo del
CIBERCRIMEN
De igual forma, la participación activa de
personas con acceso a información
privilegiada o sensible de la víctima a través
de BEC, vinculación cada vez más
frecuente de ciudadanos extranjeros en las
organizaciones criminales con injerencia en
Colombia, presencia de usuarios
Colombianos en Deep Web, uso del Internet
como herramienta de amenazas e
instigación a delinquir y el uso de monedas
virtuales como formas de pago.
En las últimas décadas, Internet ha
desempeñado un rol crucial en el
crecimiento económico. Sin embargo, los
ciberespacios también crearon una
oportunidad única para los delincuentes,
quienes aprovechan la velocidad, la
conveniencia y el anonimato de Internet
para cometer actividades delictivas que no
conocen fronteras, ya sean físicas o
virtuales, causan graves daños y
representan amenazas muy reales a las
víctimas en todo el mundo (Interpol, 2016).1
Mientras que la economía de los mercados
ilegales está asociada principalmente con
información de tarjetas de crédito y el robo
de datos personales, en un informe
elaborado por Symantec2 se observa que
los cibercriminales están mostrando gran
interés por vender cuentas de plataformas
como Netflix y Spotify.
INTRODUCCIÓN
1. https://publications.iadb.or g/bitstr eam/handle/11319/8133/Los-cos tos-del-crimen-y-de-la-violencia-nueva-evidencia-y-hallazgos-en-America-Latina-y-el-Caribe.pdf2 https://www.symantec.com/security-center/threat-report
2017
2
Los precios oscilan entre los 10 centavos de
dólar hasta los 10 dólares por cuenta. Si
bien los precios que los cibercriminales
ofrecen son muy bajos, si un atacante ha
logrado comprometer un dispositivo, es
probable que también obtenga información
de cuentas asociadas al mismo, así las
cosas, ellos intentarían venderlas para
incrementar sus ganancias.3
La economía digital del 2016 tiene algo para
todos: desde cuentas de aplicaciones para
transportase a través de Uber por 1 dólar,
hasta la distribución de ataques de
denegación de servicios (DDoS) po 1.000
dólares. Tarjetas de regalo para
restaurantes, reservas de hoteles y millas
de viajero frecuente de aerolíneas, cuentas
bancarias en línea, cuentas de PayPal, y la
compra de cuentas al por menor a través
de Amazon y Walmart están dentro de las
ofertas por los Cibercriminales. Cuando de
software malicioso se trata, herramientas de
ransomware podrían llegar a costar hasta
1.800 dólares, todo esto bajo la modalidad
de Crime-as-a-Service (Crimen como
Servicio).4
A continuación se relaciona un aproximado
de lo que en el mercado global ilegal se
podría ofrecer a través de CasS (Crimen
como Servicio)5, es decir, la oferta de un
.
l Costo del
CIBERCRIMEN
portafolio de servicios que interconecta los
proveedores especializados de
herramientas y servicios de delincuencia
cibernética con un número creciente de
grupos del crimen organizado6:
Pagos de tarjetas
Malware
3, 4 y 5. https://www.symantec.com/security-center/threat-report6. http://www.ituser.es/seguridad/2016/10/europol-presenta-su-informe-sobre-el-cibercrimen-en-europa
Precio de una tarjeta de
créditoUS$0.5 - US$30
$1.500 - $90.000
Precio de una tarjeta de
crédito con todos los
detalles
US$20 - US$60$60.000 - $180.000
Datos de la banda
magnética 1&2 & PINUS$60 - US$100$180.000 - $300.000
Kit básico de troyano
bancario con soporte
US$100
$300.000
Troyano para robar
contraseñas US$25 - US$100$75.000 - $300.000
Troyano bancario para
Android US$200$600.000
Generador de macros en
Office US$5
$15.000
Servicios de criptografía en
Malware (Difíciles para
detectar)
US$20 - US$40
$60.000 - $120.000
Kit de Ransomware US$10 - US$1800$30.000 - $5.360.000
2017
3
Servicios
Servicios de transferencia de dinero
l Costo del
CIBERCRIMEN
Cuentas
Identidades
Tener que reunir manualmente una lista de
correo electrónico puede ser un ejercicio
que consume mucho tiempo,
desafortunadamente, en el mercado negro
se puede comprar una lista de direcciones
de correo electrónico.
Esta cifra podría variar desde US$100 hasta
US$900 dólares, dependiendo de las
cantidad de correos y el impacto de
masificación de los mismo7.
7. https://www.mcafee.com/es/resources/w hite-papers/wp-cybercrime-exposed.pdf
Servicios de streaming
multimediaUS$0.10 - US$10
$300 - $30.000
Programas de
compensación en cuentas
de hoteles (100K puntos)
US$10 - US$20$30.000 - $60.000
Millas de viajero frecuente
de aerolíneas (10K millas)US$5 - US$35
$15.000 - $105.000
Cuentas de aplicaciones
para taxi con crédito US$0.5 - US$1 $1.500 - $3.000
Tarjetas de regalo en línea
al por menor
20% - 65% del
valor real
Tarjetas de regalo para
restaurantes
20% - 40% del
valor real
Tiquetes aéreos y reservas
de hotel10% del valor real
Ataques de DDoS, menor a
1 hora de duración (objetivo
medio)
US$5 - US$20$15.000 - $60.000
Denegación de servicios,
mayor a 24hr de duración
(objetivo complejo y difícil)
US$10 - US$1000$30.000 - $3.000.000
Servidores a prueba de
balas (por mes) US$100 - US$200$300.000 - $600.000
Servicio de retiro 10% - 20%
Cuentas bancarias en línea
0.5% - 10% del
balance de la
cuenta
Cuentas minoristasUS$20 - US$50$60.000 - $150.000
Cuentas de proveedores de
servicios en la nubeUS$6 - US$10$17.800 - $30.000
Nombre, seguro social y
fechas de nacimientoUS$0.1 - US$1.5
$300 - $4.500
Pasaportes escaneados y
otros documentos US$1 - US$100 $3.000 - $300.000
2017
4
Otra modalidad delictiva que se encuentra
en el mercado negro es la plantilla de
falsificación de pasaportes, en donde se
ofrece los mismos detalles de identificación
de pasaporte, pero diferentes fotos de
individuos. El delincuente ofrece versiones
totalmente editable de la plantilla en formato
.psd que es un formato de documento de
Adobe Photoshop.
Cada plantilla .psd vendida puede costar
entre USD$ 20 a USD$100. Por ejemplo,
una lista de 9 plantillas para documentos
canadienses consistentes en escaneos de
pasaportes, extractos bancarios,
documentos y facturas de servicios públicos
se vende a un precio de USD$387 donde el
precio original supera los USD$500 si se
compra por separado8.
Una vez conocida esta oferta de precios en
el mercado ilegal, las personas pueden
cometer cualquier delito que afecten la
seguridad digital de otros.
l Costo del
CIBERCRIMEN
Según Steve Morgan, fundador y CEO de
Cybersecurity Ventures, las 5 principales
cifras de ciberseguridad para 20179, son:
1. Los costos de los daños causados por el
delito cibernético alcanzan los 6 billones de
dólares anuales para 2021. 2. El gasto en
ciberseguridad superará los US$1 billón de
2017 a 2021.
3. La delincuencia cibernética triplicará el
número de “puestos de trabajo”, que se
prevé que alcancen los 3,5 millones en
2021.
4. El numero de ataque podría llegar a
4.000 millones de personas en 2020.
5. Se prevé que los costos globales por
daños a los ransomware superen los $ 5 mil
millones en 2017.
Colombia
En nuestro país, desde el 2010 hasta la
fecha, se han recibido una total de 39.623
denuncias10 por afectación a la Ley 1273 de
2009 de delitos informáticos y 19.015
incidentes11 informáticos a través del
@caivirtual desde el 2014.
Esto ha permito realizar un análisis de
cuanto le cuesta a un ciudadano ser victima
de un delito informático en el país.
8. https://researchcenter.pal oaltonetworks.com/2017/02/unit42-expl oring-cybercrime-underground-part-4- darknet-markets/9. http://www.csoonline.com/article/3153707/security/top-5-cybersecurity-facts-figures-and-statistics-for-2017.html
10. Cifras SIEDCO - Plataforma Estadística se Criminalidad y Operatividad de la Policía Nacional. A fecha 14/08/2017
11. Estadística Centro Cibernético Policial. Plataforma de atención a incidentes 24/7 @caivirtual. A fecha 14/08/2017
2017
5
La principal modalidad que afecta a los
ciudadanos y empresas en el país son las
estafas, bien sea a través de un correo
electrónico, un mensaje de texto, una
llamada, una falsa oferta de empleo o una
estafa de compra online.
Carta nigeriana: De acuerdo con los
reportes recibidos por el @caivirtual del
Centro Cibernético Policial, los costos o
pérdidas económicas por esta modalidad de
estafa, oscilan entre los 500 mil y 15
millones de pesos. Todo depende de las
artimañas utilizadas por el victimario y de
los recursos con los que cuente la víctima.
Estafa a través de servicios turísticos: Los
costos o pérdidas económicas por esta
modalidad de estafa, oscilan entre los 300
mil y 5 millones de pesos.
Smishing (SMS de falso premio): Los
costos o pérdidas económicas por esta
modalidad de estafa, oscilan entre 50 mil y
700 mil pesos.
Smishing (SMS de falso trasteo): Los
costos o pérdidas económicas por esta
modalidad de estafa, oscilan entre los 500
mil y 2 millones de pesos.
Vishing (Falsa llamada de sobrino): Los
.
l Costo del
CIBERCRIMEN
costos o pérdidas económicas por esta
modalidad de estafa, oscilan entre los 500
mil y 2 millones de pesos.
Vishing (Solicitud información tarjetas): Los
costos o pérdidas económicas por esta
modalidad de estafa, oscilan entre los 500
mil y 25 millones de pesos. En este caso
depende de la cantidad de dinero que
maneje la víctima en sus cuentas bancarias
o el cupo que tenga en su tarjeta de crédito.
2017
Falsa bolsa de empleo: Los costos o
pérdidas económicas por esta modalidad de
estafa, oscilan entre los 30 mil, 90 mil y
300 mil pesos. Normalmente se presenta
por un bajo monto, para que las denuncias
no sean tenidas en cuenta o para que la
víctima no vea necesario denunciar.
Estafa a través de compras online
(productos, compra de tiquetes): Los costos
o pérdidas económicas por esta modalidad
de estafa, oscilan entre los 100 mil y 3
millones de pesos.
l Costo del
CIBERCRIMEN
Las plataformas de pago en línea como
CredibanCo, Redeban y PSE, reportaron un
total de 49 millones de transacciones por
$16.329 millones de dólares, que equivale al
4.08% del PIB 2015, frente al 2.63% del PIB
2014 de las transacciones respectivas12. Lo
anterior, debido a que las transacciones no
presenciales o comercio electrónico,
crecieron en 2015, un 64% respecto a las
de 2014.
Phishing (Suplantación de paginas
bancarias, de gobierno): Los costos o
pérdidas económicas por esta modalidad de
delito informático, oscilan entre los 200 mil
y 50 millones de pesos. En este caso
depende de la cantidad de dinero que
maneje la víctima en sus cuentas bancarias
o el cupo que tenga en su tarjeta de crédito.
12. https://www.ccce.org.co/sites/default/files/biblioteca/Infograf%C3%ADa%20Tercer%20estudi o%20de%20transacci ones%20no%20presenciales- eCommerce%202015_0.pdf
6
2017
7
BEC (Suplantación de correo corporativo):
Se estima que por cada caso de BEC que
afecte en Colombia, existe una perdida de
380 millones de pesos.
De igual forma se ha logrado establecer o
evidenciar que los Money Mules, que se
dedican a prestar sus cuenta bancarias para
el desvío de dinero, logran obtener un
porcentaje mayor al 10% producto de la
transferencia de dinero a sus cuentas.
De la misma forma el Ransomware tuvo un
incremento de ataques del 500% en
comparación del 2016 a 2015. Esto quiere
decir, que se paso de 14 incidentes
atendidos en el 2015, a 84 en el 2016. Esto
ha convertido al Ransomware, en una de
las principales tendencias del Cibercrimen
en el 2017.13
Se estima que el 76% de las infecciones de
Ransomware se da a través del correo
electrónico y spam.14
l Costo del
CIBERCRIMEN
Se ha logrado establecer que el cobro del
rescate de un equipo infectado por
Ransomware oscila entre 0,5 a 5 BTC,
aunque ya esta cifra ha bajado por el
aumento del valor del Bitcoin, por ejemplo
en el reciente ataque mundial de
Ransomware WanaCry se pudo establecer
que el cobro por descifrar un equipo era por
300 dólares, lo que equivale a 0.07 BTC
aproximadamente.
El dinero obtenido a través del Cibercrimen,
puede ser utilizado para financiar temas de
terrorismo, lavado de activos, poder de
información y lucro de organizaciones
criminales.
13. Estadística Centro Cibernético Policial. Plataforma de atención a incidentes 24/7 @caivirtual. A fecha 14/08/201714. http://globbsecurity.com/ransomware-cifras-38969/
2017
8
Resumen
l Costo del
CIBERCRIMEN
Carta nigeriana$500.000 -
$15.000.000
Estafa por servicios
turísticos
$300.000 -
$5.000.000
Smishing (SMS de falso
premio)
$50.000 -
$700.000
Smishing (SMS de falso
trasteo)
$500.000 -
$2.000.000
Vishing (Falsa llamada de
sobrino retenido)
$500.000 -
$2.000.000
Vishing (Solicitud
información tarjetas)
$500.000 -
$25.000.000
Falsa bolsa de empleo$30.000 -
$300.000
Estafas a través de
compras on-line
$100.000 -
$3.000.000
Phishing (Suplantación de
paginas bancarias, de
gobierno)
$200.000 -
$50.000.000
BEC (Suplantación de
correo corporativo)
$380.000.000
Aprox.
Money Mules10% por
consignación
Ransomware
0.07 BTC - 5 BTC
$900.000 -
$65.000.000